配置自定义应用程序签名
注意:
从 Junos OS 19.3R2 和 19.4R1 版本开始,如果您在配备 MX-SPC3 卡的 MX240、MX480 或 MX960 路由器上启用了新一代服务,则宽带订阅者管理也支持应用识别。
您可以使用自定义签名配置自定义应用程序定义。这些定义支持通过深度包检测 (DPI) 识别协议束,供服务链中感兴趣的服务使用。
在配置自定义应用签名之前,请确保在 MS-MPC 或 MX-SPC3 服务卡的所有必要接口上都配置了该签名 jservices-jdpi (如果您在 MX240、MX480 或 MX960 上启用了下一代服务)。要查看如何在 MS-MPC 或 MX-SPC3 服务卡上配置软件包:
有关 Junos OS 订阅者感知,请参阅 服务 PIC 预配置组和会话 PIC 概述 。
有关 Junos OS 宽带订阅者管理,请参阅 安装服务包以进行订阅者管理应用感知策略管理。
要配置一个或多个自定义应用程序签名:
- 指定应用程序的名称。
[edit services application-identification] user@host# edit application application-name
例如:
[edit services application-identification] user@host# edit application my:http
- 指定应用程序的描述。
[edit services application-identification application application-name] user@host# set description description
例如:
[edit services application-identification application my:http] user@host# set description "Test application"
- 为应用程序指定备用名称。
[edit services application-identification application application-name] user@host# set alt-name alt-name
例如:
[edit services application-identification application my:http] user@host# set alt-name my:http-app
- 启用应用系统缓存 (ASC) 的保存。
[edit services application-identification application my:http] user@host# set cacheable
- 指定 Junos OS 版本的名称以实现兼容性。
[edit services application-identification application application-name] user@host# set compatibility junos-compatibility-version
例如:
[edit services application-identification application my:http] user@host# set compatibility 17.1
- 指定任何所需的应用程序标记,由用户定义的名称和值组成。
[edit services application-identification application application-name] user@host# set tags tag-name tag-value
例如:
[edit services application-identification application my:http] user@host# set tags traffic-type video-stream
- 指定一个或多个基于地址的签名。
指定目标地址和目标端口范围。
[edit services application-identification application application-name] user@host# set filter ip 200.0.0.2/24 port-range [80]
- 指定基于 ICMP 的签名。
指定 ICMP 类型和代码。
[edit services application-identification application application-name] user@host# set icmp-mapping type icmp-type code icmp-code
例如:
[edit services application-identification application my:http] user@host# set icmp-mapping type 33 code 34
- 指定基于 IP 协议的签名。
按协议号指定 IP 协议。
[edit services application-identification application application-name] user@host# set ip-protocol-mapping protocol protocol-number
例如:
[edit services application-identification application my:http] user@host# set ip-protocol-mapping protocol 103
允许使用所有 IP 协议映射,但不允许在基于 IP 协议的签名下配置协议号 1、6、17。如果尝试在 ip-protocol-mapping 下配置协议 1、6、17,您将收到提交错误。
- 使用模式匹配和第 4 层协议来指定一个或多个第 4 层和第 7 层签名。
为第 4 层和第 7 层签名指定名称。
[edit services application-identification application application-name over protocol-type] user@host# set signature l4-l7-signature-name
例如:
[edit services application-identification application my:http over http] user@host# set signature myl3l7
指定在应用程序分类期间发生冲突时要使用的顺序。在这种情况下,最低顺序的应用程序被分类。
[edit services application-identification application application-name over protocol-type signature l4-l7-signature-name member member-name] user@host# set order order
例如:
[edit services application-identification application my:http over http signature myl3l7 member m01] user@host# set order 1
指定使用此签名的优先级,而不是使用任何匹配的预定义签名。
[edit services application-identification application application-name over protocol-type signature l4-l7-signature-name] user@host# set order-priority (high | low)
例如:
[edit services application-identification application my:http over http signature myl3l7] user@host# set order-priority high
(选答)指定协议。如果您通过 MX-SPC3 服务卡使用下一代服务,请勿执行此步骤。
[edit services application-identification application application-name over protocol-type signature l4-l7-signature-name] user@host# set protocol (http | ssl | tcp | udp)
例如:
[edit services application-identification application my:http over http signature myl3l7] user@host# set protocol http
(选答)指定按顺序匹配成员。
[edit services application-identification application application-name over protocol-type signature l4-l7-signature-name] user@host# set chain-order
指定成员。您可以重复此步骤以定义最多四个成员。
[edit services application-identification application application-name over protocol-type signature l4-l7-signature-name] user@host# edit member member-name
例如:
[edit services application-identification application my:http over http signature myl3l7] user@host# edit member m01
指定成员的标识模式。
[edit services application-identification application application-name over protocol-type signature l4-l7-signature-name member member-name] user@host# set pattern pattern
例如:
[edit services application-identification application my:http over http signature myl3l7 member m01] user@host# set pattern "www\.facebook\.net"
指定要应用模式匹配的流向。
[edit services application-identification application application-name over protocol-type signature l4-l7-signature-name member member-name] user@host# set direction (any | client-to-server | server-to-client)
例如:
[edit services application-identification application my:http over http signature myl3l7 member m01] user@host# set direction any
指定检查字节数。此选项仅适用于 TCP 和 UDP。
[edit services application-identification application application-name over protocol-type signature l4-l7-signature-name member member-name] user@host# set check-bytes max-bytes-to-check
例如:
[edit services application-identification application my:http over http signature myl3l7 member m01] user@host# set check-bytes 5000
- (仅适用于使用 MX-SPC3 服务卡的新一代服务)提交更改后,您可以检查自定义签名承诺的状态。
[edit services application-identification application my:http over http signature myl3l7 member m01] user@host> show services application-identification commit-status